“북한, 10억달러 목표로 SWIFT 공격해 9400만달러 취득”
상태바
“북한, 10억달러 목표로 SWIFT 공격해 9400만달러 취득”
  • 김선애 기자
  • 승인 2017.04.26 16:09
  • 댓글 0
이 기사를 공유합니다

시만텍 ISTR 22호, 사이버 사보타주 비용 마련 위해 금융권 공격 늘어…해킹 배후에 북한 있어

정치적인 목적으로 일어나는 사이버 사보타주와 금전적인 목적을 가진 공격이 늘어나고 있다는 전망이 나왔다. 사보타주를 위한 활동자금으로 은행에 사이버 공격을 단행하는 범죄가 늘고 있다는 사실이다. 우리나라를 타깃을 하는 공격 중에서는 북한이 배후에 있는 공격이 상당수 있다는 사실도 드러났다.

시만텍의 연례 보고서 ‘인터넷 보안 위협 보고서(ISTR) 제 22호’에서는 금전적인 목적을 위한 사이버 공격 중에서는 체제 전복을 위한 활동 기금 마련을 위한 공격이 있을 가능성을 제기했다.

“북한 정치자금 마련 위해 전 세계 은행 해킹하나”

시만텍이 예로 든 것은 지난해 방글라데시 중앙은행 SWIFT 해킹 사고다. 이 사고로 방글라데시중앙은행은 8100만달러를 잃었다. 시만텍은 전 세계 은행을 노린 공격 중 북한이 배후에 있는 것으로 추정되는 것이 10억달러에 이른다고 밝혔다.

시만텍이 밝혀낸 또 다른 공격은 베트남 티엔퐁 은행이 2015년 4분기 100만달러가 넘는 부정이체 시도였으며, 에콰도르의 방코 델 아우스트로 은행도 아시아에서 발생한 공격과 직접적인 연관성은 찾지 못했으나 SWIFT 거래정보를 해킹한 공격으로 1200만 달러의 손실을 입은 것으로 알려졌다.

시만텍은 SWIFT 공격에 사용된 악성코드를 분석해 ‘라자러스(Lazarus)’라는 사이버 범죄 집단이 사용하는 것과 동일한 코드를 사용하고 있다는 것을 밝혀냈다. 라자러스는 지난 2014년 소니 해킹사건을 일으킨 공격자로 지목받았으며, 미국 FBI는 이 사고를 일으킨 주범이 북한이라고 발표했다.

한편 카스퍼스키랩은 라자러스와 다크서울 공격 집단이 연관돼 있다고 밝혔는데, 다크서울은 2013년 3·20, 6·25 사고를 일으킨 주범으로 지목된다. 팔로알토네트웍스도 다크서울과 라자러스의 연관성이 높다고 밝혔으며, 이들은 2009년부터 한국을 타깃으로 하는 공격을 진행해왔다.

윤광택 시만텍코리아 상무는 “사이버 사보타주가 부활하고 있다. 한국을 집중 공격하는 공격그룹의 활동이 이어지고 있으며, 중동 에너지 기업을 대상으로 하는 샤문도 4년만에 공격을 개시했다”며 “최근 몇 년간 사이버 공격은 금전을 목적으로 진행해왔는데, 국제 정세가 어지럽게 돌아가면서 정치적인 목적을 가진 핵티비즘, 사보타주 공격이 크게 늘어나고 있는 것”이라고 설명했다.

한편 시만텍 보고서에서는 금융권 최대 규모의 절도 사건은 사이버 공간에서 일어나고 있으며, 공격자들이 탈취한 금액은 수 십억 달러에 달한다고 설명했다. 이러한 공격 중 일부는 조직화된 범죄 집단에 의한 것도 있으나, 최초로 민족국가들 또한 연루돼 있다. 시만텍은 방글라데시, 베트남, 에콰도르, 폴란드 등에 있는 은행을 겨냥한 공격과 ‘북한’이 관련되어 있는 증거를 발견했다. 북한의 사이버 공격 집단은 최소 9400만 달러(약 1060억원)를 탈취하는데 성공한 것으로 보인다.

▲윤광택 시만텍코리아 상무는 “최근 몇 년간 사이버 공격은 금전을 목적으로 진행해왔는데, 국제 정세가 어지럽게 돌아가면서 정치적인 목적을 가진 핵티비즘, 사보타주 공격이 크게 늘어나고 있다”고 말했다.

악성코드 받는 비율, 7달러 복권 당첨될 확률의 3배 가량

보고서에서는 사이버 공격에 가장 많이 이용하는 수단이 이메일이며, 메일 131개 중 한 개는 악성코드·악성링크가 포함됐다고 설명했다. 7달러 복권에 당첨될 빈도는 317번 중 1번이라는 점을 감안하면 악성메일은 매우 자주 발견되는 셈이다.

공격에 사용되는 것은 일반적으로 사용되는 IT툴이다. 오피스 프로그램에서 사용하는 매크로를 이용하며, 윈도우 파워쉘을 이용해 공격을 진행한다. 파워쉘은 스크립트를 이용한 대표적인 공격으로, 기존의 보안 시스템이 인지하지 못하고 탐지됐을 때 공격자가 빠르게 대응할 수 있는 반면 보안조직은 쉽게 대응하지 못한다. 시만텍은 파워쉘 파일의 95%는 악성이라고 판단했다.

이메일을 이용한 공격 중에서는 사회공학적인 기법을 이용하는 업무송금유도 이메일 사기(BEB)도 늘어난다. 지난 3년간 기업에서 빼낸 금액은 무료 3조4000여억원에 이르며, 매일 400개 이상의 기업이 표적이 되고 있다.

랜섬웨어 36% 증가… 평균 122만원 요구

랜섬웨어는 범죄자들에게 여전히 수익성이 높은 비즈니스로 이용되고 있다. 시만텍은 2016년 한 해 100개 이상의 신규 랜섬웨어 패밀리(동일한 범주로 구분한 변종 악성코드의 집합)를 발견했으며, 전세계 랜섬웨어 공격은 36%나 증가한 것으로 나타났다.

공격자들이 랜섬웨어 공격 대상으로 삼은 국가 1위는 ‘미국’으로 나타났다. 시만텍이 랜섬웨어 피해자가 금전 요구에 지불할 용의가 있는지 파악한 결과, 전세계 평균이 34%인 것에 비해 미국인은 64%가 금전 요구에 지불할 용의가 있다고 답변했다.

2016년 랜섬웨어 범죄자들이 평균적으로 요구한 금액은 평균 1077달러(약 122만원)로 2015년 294달러(한화 약 33만원)에서 약 3.7배 수준으로 증가했다.

클라우드 환경의 균열을 노리는 사이버 범죄

기업들의 클라우드 서비스 의존도가 증가함에 따라 공격 위협에 대한 노출도 증가하고 있다. 지난해 한 서비스 사업자는 인증시스템이 구동되지 않은 상태에서 사용자들이 과거의 DB를 인터넷 상에 올리는 바람에 수십만 개의 클라우드 데이터베이스가 장악되었고, 금전요구를 받은 사례가 있었다.

시만텍의 데이터에 따르면, CIO들이 조직 내에서 얼마나 많은 클라우드 앱이 사용되고 있는지 제대로 파악하지 못하고 있는 것으로 나타났다. CIO들은 평균적으로 최대 40여 개의 클라우드 앱을 사용하고 있을 것이라고 응답했으나, 실제 기업들이 사용하고 있는 클라우드 앱은 평균 1000개에 육박했다.

이러한 인식과 현실간의 차이는 클라우드 서비스 접속과 관련한 기업의 정책 및 절차의 부재로 이어질 수 있으며, 더 나아가 클라우드 앱이 위험한 환경에 놓일 수 있다. 클라우드 환경에서 발생하는 균열은 점차 구체화되고 있다. CIO가 조직에서 사용하고 있는 클라우드 앱을 철저하게 관리하지 못할 경우, 새로운 방식으로 위협이 들어오게 될 가능성도 늘어난다.

새로운 목표물로 관심이 집중되는 IoT

IoT(사물인터넷) 디바이스는 상대적으로 보안이 취약해 공격자에게 손쉬운 표적이 되면서 공격이 본격화되고 있다. 2016년에는 IoT를 겨냥한 최초의 대형 보안 사고가 발생했다. 라우터, 보안 카메라 등 IoT 디바이스로 구성된 미라이 봇넷이 사상 최대 규모의 디도스(DDoS) 공격을 감행했다. 시만텍의 분석에 따르면, 2016년에 IoT 디바이스에 대한 공격 시도가 2배나 증가했으며, 또한 공격 시도가 최고로 활발한 때에는 평균적인 IoT 디바이스의 경우 2분마다 한 번씩 공격을 받은 것으로 조사됐다.

시만텍코리아 윤광택 CTO는 “과거에는 경제적 목적의 사이버 공격이 주를 이룬 반면, 지난 해에는 체제 전복과 사보타주 활동 등 정치적 의도를 가진 표적 공격이 증가하면서 사이버 공격 동기의 변화가 두드러졌다. 또한, 공격자들만 알고 있는 제로데이 취약점이나 전문 악성코드가 아닌, 손쉽게 이용할 수 있는 IT자원과 사회공학적 기법을 이용해 공격 효과를 극대화하는 ‘자력형 공격’이 늘고 있다는 것에 주목해야 한다”고 설명하며, “보안 위협은 여전히 정교화되고 전문화되고 있는 가운데, 이와 같이 사이버 공격의 동기와 공격 기법의 달라진 양상으로 인해 우리 사회와 일상에 미치는 영향은 더욱 확대될 수 있음을 시사한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.